亚马逊等电商用户信息遭售卖2元一条扫号得来经济频道

5月9日，最高人民法院通报了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。

这是两高首次就打击侵犯公民个人信息犯罪出台司法解释。根据此次司法解释，非法获取、出售公民个人信息，情节严重者可获刑。

在此节点，新京报推出关于“个人信息泄露”的系列调查报道。我们将通过对航空、征信、银行卡等领域的调查，以期找到个人信息泄露的源头。

“通过‘扫号撞库’的方式，黑客可以拿到用户在网购平台上的数据，”游侠安全网创始人张百川表示，一些平台的用户信息之所以遭到泄露，就是因为缺少对这种“撞库攻击”的防范。

黑客盗取某些网站的数据库售卖给信息贩子，这些信息流到骗子手中后，一般会以冒充客服退款等方式进行诈骗。

网购信息2元一条，贩子称“扫号”得来

来自西安的小严不久前因小红书网购信息泄露遭遇诈骗。

打完款，小严才觉得自己被骗了，随即报警，截至目前还没有结果。她之后联系了小红书平台，小红书平台称他们只负责追缴，不负责赔偿。

中国电子商务研究中心分析师姚建芳告诉新京报记者，仅在今年4月份，中国电子商务投诉与维权公共服务平台就接到了包括小红书、达令、当当网在内的多家网购平台用户反映个人信息泄露的举报。

被称为“中国黑客教父”的现任益云（公益互联网）社会创新中心创始人万涛告诉新京报记者，网购用户质量高低与否决定了出售数据价格的高低。“质量指的网购商品的客单价，比如衣服等普通物品客单价较低，数据可能就便宜，但如果购买电视、手机等相对贵重的物品，客单价比较高，用户数据的价值也就更高一些。”

据业内人士介绍，根据客单价的不同，网购数据的价位也不同，被倒卖过多次的信息并不值钱，一些历史数据甚至是黑客圈中公开的秘密，价值为零。而没有被用过的“一手”信息则可以卖到几块钱一条。

扫号产业链：黑客偷、贩子倒、骗子买

“通过‘扫号撞库’的方式，黑客可以拿到用户在网购平台上的数据，”游侠安全网创始人张百川向新京报记者表示，“而一些平台的用户信息之所以遭到泄露，就是因为缺少对这种‘撞库攻击’的防范。”

根据目前受骗者的案例，这些信息流向骗子的手中，当骗子掌握用户的具体购物信息时，一般会以冒充客服退款等方式进行诈骗。

据他介绍，在实际操作中，信息贩子往往是通过专门的“扫号”软件，来批量验证账号密码是否是有价值的。

5月2日，当新京报记者询问“AA收购数据”有没有淘宝的平台账号密码时，“AA收购数据”回答称做不了，因为“没有软件”。

5月2日，新京报记者以出售数据为名联系到了一个网名为“四哥”的信息贩子。“四哥”称他们“大量收购所有网购历史订单，月内为优”。并称，“拿货价2元一个，囤货多了再出手，随便一天出3万个左右，保证最新数据”。

“这些信息贩子的‘技术源头’就是黑客平台”。张百川告诉新京报记者，“这些在黑客圈子里都可以找到，黑客盗取某些网站的数据库后就可以售卖给信息贩子，根据数据价值的不同，售价也不同，但一般都是第一次出售价格最高，比如最开始这个数据库可以卖一万，‘二倒手’之后就只能卖6千，再倒手之后价格更低，直至最后没有价值，向公众公开。”

猎网在2015年11月曾发布《现代网络诈骗产业链分析报告》，报告显示：基于对网民举报的近9万起网络诈骗案件的追踪研究，该平台发现网络诈骗已形成一条完整且分工明确、多达15个工种的地下黑色产业链；初步统计，网络诈骗从业者至少有160万人，“年产值”超过1100亿元，而涉嫌泄露用户信息量已超过千万级。

有“漏洞”平台更易被“撞库”

“1号店的验证码模式并不算是防御撞库攻击的有效方式，现在在网上搜索验证码识别、验证码绕过，可以得到相应的破解软件。移动滑块相应高端一些，但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码，万涛表示，现在有专门的打码平台可以帮忙快速破解验证码。

有业内人士称，当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后，被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。

“事实上，对撞库攻击进行防御的成本并不高，但除支付宝等大型平台外，小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。

根据今年3月补天平台发布的《2016年网站泄露个人信息形势分析报告》，2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息，分别占58.5%和62.4%（某些漏洞可能同时泄露2类信息），可能泄露的数量多达42.3亿条和40.1亿条。

电商平台是否担责？律师称难判断

“电商平台在获取个人信息的同时，就有保护个人信息的义务。”北京盈科律师事务所方超强律师向新京报记者表示，“信息泄露存在不同的情况，如果电商平台提供了符合其规模的保护措施，但在这种情况之下还是被黑客入侵了系统，这种情况属于不可抗力，电商不用承担责任，但如果最终发现因平台存在漏洞而导致信息泄露，那么平台就要负责。”

根据《网络交易管理办法》第25条第二款规定：第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行，提供必要、可靠的交易环境和交易服务，维护网络交易秩序。

但方超强直言，在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”，若消费者向法院投诉平台，平台只要举证证明其尽到了安全责任保护义务，就很难对平台进行追责。同时，对于消费者因为在不同电商平台使用相同的账号密码，以致遭到“撞库”盗号，所有账号密码一同被盗，造成自身重大损失，此类情形，应当由谁承担责任要视账号泄密的不同情况分而论之。

万涛认为，核心问题是发生信息泄露之后，往往很难判断是哪一个环节出了问题，对责任的界定和处罚不明确，导致信息泄露从取证到用户的维权成本都过高。“电商有物流、第三方等多个环节，有很多订单泄露与其内部数据的管理和安全手段能不能覆盖到业务是有关联的。”

“一般而言，卖家在电商平台上出售商品，是要与平台签订协议的，在注册条款里平台需要尽到告知义务，即卖家不能买卖买家的个人信息获利，这种行为本身构成侵权，买卖达到一定数量也构成犯罪。但若平台尽到了告知义务，是没有责任的。”上海市百良律师事务所主任王冰告诉新京报记者。（记者罗亦丹）